6.3 系統和服務獲取（SA）

6.3.1　系統及服務獲取的方針策略及規程（SA-1）

本項要求包括：

a) 應制定并發布系統服務及獲取的方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調及合規性；

b) 應制定并發布系統服務及獲取的規程，以推動系統服務及獲取的方針策略及與相關安全控制的實施；

c) 應定期對系統服務及獲取的方針策略及規程進行評審和更新。

6.3.2　資源配置（SA-2）

本項要求包括：

a) 應在業務過程規劃中明確提出ICS或系統服務的安全需求；

b) 應明確、配置保護信息系統及相關服務所需的資源，形成相關文檔并將其作為資本計劃和投資管理過程的組成部分；

c) 應在組織的工作計劃和預算文件中應考慮信息安全。

6.3.3　系統開發生命周期（SA-3）

本項要求包括：

a) 應在ICS的開發生命周期內實施全生命周期的安全管理，并將信息安全風險管理過程集成到ICS的開發生命周期活動中；

b) 應明確ICS開發生命周期內的信息安全角色及責任，并明確相應的責任人；

c) 應在ICS開發的各階段應用安全工程原則。

6.3.4　采購過程（SA-4）

本項要求包括：

a) 在ICS采購合同中，應明確描述系統的預期運行環境、開發環境及驗收標準，并提出系統的安全功能、安全增強、安全保障及安全文檔需求；

b) 采購合同內容應遵守相關的法律、法規、規章、標準或指南；

c) 組織應要求供應商或合同方在文檔中提供描述該ICS及其部件和服務中所使用的那些安全控制之功能特性信息，而這些信息應當是相當詳細的，以至于可對安全控制進行分析和測試；

d) 組織應要求供應商或合同方在文檔中提供描述該ICS及其部件和服務中所使用的那些安全控制的設計和實現的詳細信息，以至于可對安全控制進行分析和測試；

e) 組織應要求軟件供應商或制造方證實他們的軟件開發過程使用了安全的工程方法、質量控制過程和確認技術，使軟件弱點和惡意最小化；

f) 組織應限制獲取市場上具有安全能力的信息技術產品，對于這樣的產品應對其進行評估和確認；

g) 組織應確保所獲取的每一個部件顯式地分配給一個ICS，并且系統擁有者承認該分配；

h) 組織應要求獲取文檔中的ICS部件，以安全和規定的配置方式予以交付，并且該安全配置對任何軟件重新安裝或調整均是默認的配置；

i) 組織應限制在市場上獲取的現成信息技術產品，是那些已通過國家安全相關部門評估的產品，具有信息保障和能使達到保障管治的現成信息技術；

j) 為了保護公共發布的信息，免遭惡意的干擾或破壞，并確保它的可用性，組織應確保使用了市場上具有基本的信息保障能力的信息技術產品；

k) 當信息向公共網傳輸時，或當信息對那些未被授權訪問ICS中所有信息的個體是可訪問的時候，為了保護受控的非機密信息， 組織應確保使用市場上基本信息保障能力的信息技術產品；

l) 當使用的網絡在比該網絡較低的機密層上來傳輸該信息時，為了保護國家機密的安全信息，僅使用市場上高信息安全保障能力的信息技術產品；確保高信息安全保障能力的信息技術產品已通過國家安全相關部門的評估和確認。

6.3.5　ICS信息系統文檔（SA-5）

本項要求包括：

a) 應提供描述系統、組件或服務的管理員文檔，文檔應包括：系統、組件、服務及安全功能的安裝、配置、使用、管理及運行維護信息以及系統管理員功能相關的脆弱性；

b) 應提供描述系統、組件或服務的用戶文檔， 文檔應包括：用戶可訪問的安全功能描述及其有效使用方法；用戶對系統、組件或服務的安全使用方法及安全維護責任；

c) 當文檔或是不可用時或不存在時，記錄企圖要獲得的ICS文檔；

d) 當需要時，獲取并保護描述ICS中所使用的安全控制的功能特性的文檔，該文檔具有充分的詳細程度，允許對其中功能特性進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；

e) 當需要時，獲取并保護描述了ICS與安全有關的外部接口的文檔，該文檔具有充分的詳細程度，允許對其中外部接口進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；

f) 當需要時，獲取并保護以子系統以及安全控制的實現細節來描述ICS高層設計的文檔，并具有充分的詳細程度，允許對其中的子系統和實現細節進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；

g) 當需要時，獲取并保護描述了ICS與安全有關外部接口的文檔，該文檔具有充分的詳細程度，允許對其中外部接口進行分析和測試，從而使文檔對授權人員、供應商、制造者是可用的；

h) 當需要時，獲取和保護ICS的源碼，并對授權人員是可用的，允許進行分析和測試；

i) 應基于風險管理策略要求對ICS文檔進行保護；

j) ICS文檔應分發到指定的角色或個人。

6.3.6　外部ICS服務（SA-6）

本項要求包括：

a) 外部ICS服務的提供商應遵從組織的信息安全策略要求、采用組織規定的安全控制措施，并遵守相關的法律、法規、規章、標準和指南；

b) 明確與外部ICS服務相關的安全角色和責任，并形成文檔；

c) 應采用規定的過程、方法和技術，對外部服務提供商所提供的安全控制措施的合規性進行持續監控；

d) 在獲取指定的ICS安全服務前，進行組織層面上的風險評估；

e) 確保獲取的指定ICS安全服務，得到高層領導的批準；

f) 應管理服務提供的變更，包括保持和改進現有的ICS信息安全策略、規程和控制措施，并考慮到業務系統和涉及過程的關鍵程度及風險的再評估。

6.3.7　開發者配置管理（SA-7）

本項要求信息系統、系統組件及系統服務的開發者:

a) 應在系統、組件或服務的設計、開發、實現和運行的過程中實施配置、變更管理，并形成相關文檔；

b) 信息系統的變更應經過批準，考慮系統、組件及服務變更的安全影響并形成文檔；

c) 應跟蹤系統、組件及服務的安全缺陷及應對措施；

d) 組織要求ICS開發人員和集成人員提供軟件的完整性檢測，以便在軟件交付后，支持組織進行軟件完整性驗證；

e) 在開發人員和集成人員指定的配置管理項缺少的情況下，組織為相關人員提供可選的配置管理過程。

6.3.8　開發者安全測評（SA-8）

本項要求信息系統、系統組件及系統服務的開發者：

a) 應制訂并實施安全評估計劃，針對相關的功能屬性、外部可見接口、頂層設計、底層設計、系統硬件、源代碼等進行安全測評；

b) 應對ICS、系統組件及系統服務實施測試與評估（單元、集成、系統或回歸測試），形成安全測評報告；

c) 應對安全測評過程中發現的系統漏洞進行更正；

d) 組織應要求系統開發人員和集成人員使用代碼分析工具檢查軟件中的公共漏洞，并建立分析結果文檔；

e) 組織應要求系統開發人員和集成人員執行脆弱性分析，建立脆弱性、利用可能性以及風險緩解文檔；

f) 組織應要求ICS開發人員和集成人員依據獨立驗證和確認代理的證據，創建并實現一個安全測試和評估計劃。

6.3.9　供應鏈保護（SA-9）

本項要求包括：

a) 應將供應鏈安全作為綜合信息安全防護戰略的組成部分，以防ICS、系統組件與ICS服務遭受供應鏈安全所造成威脅；

b) 組織應使用匿名的獲取過程；

c) 組織應購置初始獲取中所有ICS部件以及相關附件；

d) 對要獲取的硬件、軟件、固件或服務，在編入合同協議之前，組織應對供應方進行認真的評審；

e) 有關ICS、ICS部件以及信息技術產品，組織應使用可信的運輸途徑；

f) 組織應使用多種多樣的ICS、ICS部件、信息技術產品和ICS服務的供應方；

g) 組織應使用標準配置的ICS、ICS部件、信息技術產品；

h) 組織應使ICS、ICS部件、信息技術產品的購置決策和交付之間的時間最短；

i) 組織對交付的ICS、ICS構件、信息技術產品進行獨立分析和滲透測試；

j) 應建立供應鏈的安全評估規程；

k) 應采用指定的安全措施來保障ICS關鍵組件的供應；

l) 應將危害性分析作為供應鏈風險管理的關鍵原則，確定供應鏈活動的優先級。在系統開發生命周期中的指定決策點對ICS、系統組件或系統服務進行危害性分析，以識別關鍵的ICS模塊或功能。

6.3.10　開發過程、標準及工具（SA-10）

本項要求包括：

a) ICS、系統組件或系統服務的開發人員應遵循軟件工程的開發流程；

b) 應明確安全需求、開發過程中需遵循的標準及可使用的工具，并記錄工具的配置信息與特殊選項；

c) 應對開發過程中的工具與變更進行管理；

d) 應定期對開發過程、標準、工具及配置文件進行審核。

6.3.11　網絡服務安全（SA-11）

本項要求包括：

a) 安全特性、服務級別以及所有網絡服務的管理要求應予以確定并包括在所有網絡服務協議中。無論這些服務是由內部提供的還是外包的。